Introducción a Microsoft Defender Experts for XDR

  • Artículo

Se aplica a:

Una vez que el equipo de Expertos de Defender para XDR esté listo para incorporar su organización, recibirá un correo electrónico de bienvenida para continuar con la configuración y empezar.

Seleccione el vínculo en el correo electrónico de bienvenida para iniciar directamente la configuración de Expertos de Defender en el portal de Microsoft Defender. También puede abrir esta configuración si va a Configuración>Expertos de Defender y selecciona Introducción.

Captura de pantalla de la página Introducción en la guía paso a paso de configuración de XDR de Defender for Experts.

Concesión de permisos a nuestros expertos

De forma predeterminada, Defender Experts for XDR requiere acceso del proveedor de servicios que permite a nuestros expertos iniciar sesión en el inquilino y ofrecer servicios basados en roles de seguridad asignados. Más información sobre el acceso entre inquilinos

También debe conceder a nuestros expertos uno o ambos de los siguientes permisos:

  • Investigar incidentes y guiar mis respuestas (valor predeterminado): esta opción permite a nuestros expertos supervisar e investigar incidentes de forma proactiva y guiarle a través de las acciones de respuesta necesarias. (Nivel de acceso: Lector de seguridad)
  • Responder directamente a amenazas activas (recomendado): esta opción permite a nuestros expertos contener y corregir amenazas activas inmediatamente mientras investigan, lo que reduce el impacto de la amenaza y mejora la eficacia de la respuesta general. (Nivel de acceso: Operador de seguridad)

Captura de pantalla de la opción administrar exclusiones al configurar Expertos de Defender para XDR.

Importante

Si omite proporcionar permisos adicionales, nuestros expertos no podrán realizar determinadas acciones de respuesta para proteger su organización.

Aunque a nuestros expertos se les conceden estos permisos relativamente eficaces, solo tendrán acceso individual a áreas específicas durante un período limitado. Más información sobre cómo funcionan los expertos de Defender para permisos XDR

Para conceder permisos a nuestros expertos:

  1. En la misma configuración de expertos de Defender, en Permisos, elija los niveles de acceso que desea conceder a nuestros expertos.
  2. Si desea excluir los grupos de usuarios y dispositivos de su organización de las acciones de corrección, seleccione Administrar exclusiones.
  3. Seleccione Siguiente para agregar contactos o grupos.

Para editar o actualizar los permisos después de la configuración inicial, vaya a Configuración>Permisos deexpertos de> Defender.

Excluir dispositivos de la corrección

Expertos de Defender para XDR le permite excluir dispositivos y usuarios de las acciones de corrección realizadas por nuestros expertos y, en su lugar, obtener instrucciones de corrección para esas entidades. Estas exclusiones se basan en grupos de dispositivos identificados en Microsoft Defender para punto de conexión.

Para excluir grupos de dispositivos:

  1. En la misma configuración de configuración de Expertos de Defender, en Exclusiones, vaya a la pestaña Grupos de dispositivos .

  2. Seleccione + Agregar grupos de dispositivos y, a continuación, busque y elija los grupos de dispositivos que desea excluir.

    Nota:

    En esta página solo se enumeran los grupos de dispositivos existentes. Si desea crear un nuevo grupo de dispositivos, primero debe ir a la configuración de Defender para punto de conexión en el portal de Microsoft Defender. A continuación, actualice esta página para buscar y elegir el grupo recién creado. Más información sobre la creación de grupos de dispositivos

  3. Seleccione Agregar grupos de dispositivos.

  4. De nuevo en la pestaña Grupos de dispositivos , revise la lista de grupos de dispositivos excluidos. Si desea quitar un grupo de dispositivos de la lista de exclusión, selecciónelo y seleccione Quitar grupo de dispositivos.

  5. Seleccione Siguiente para confirmar la lista de exclusión y continuar con la adición de contactos o grupos. De lo contrario, seleccione Omitir y se descartarán todas las exclusiones agregadas.

Captura de pantalla de la opción para excluir grupos de dispositivos.

Díganos con quién ponerse en contacto para asuntos importantes

Expertos de Defender para XDR le permite determinar las personas o grupos de su organización a los que se debe notificar si hay incidentes críticos, actualizaciones del servicio, consultas ocasionales y otras recomendaciones:

  • Contactos de notificación de incidentes : estos contactos son personas o equipos a los que podemos notificar para las acciones de respuesta administradas o cualquier comunicación que requiera una respuesta inmediata. Dada la naturaleza urgente de las comunicaciones, recomendamos que estos contactos estén siempre disponibles.
  • Contactos de revisión de servicio: estos contactos son personas o equipos con los que podemos interactuar para las sesiones informativas de seguridad continuas realizadas por nuestro equipo de entrega de servicios.

Una vez identificados, las personas o grupos recibirán un correo electrónico en el que se les notificará que eran contactos con fines de notificación de incidentes o revisión del servicio.

Captura de pantalla de la página Contactos de incidentes en la guía paso a paso de configuración de XDR de Defender for Experts.

Para agregar contactos de notificación:

  1. En la misma configuración de configuración de Expertos de Defender, en Contactos, busque y agregue la persona o equipo de contacto en el campo de texto proporcionado.
  2. Agregue un número de teléfono (opcional) al que los expertos de Defender puedan llamar para asuntos que requieran atención inmediata.
  3. En el cuadro desplegable Contacto para , elija Notificación de incidentes o Revisión del servicio.
  4. Seleccione Agregar.
  5. Seleccione Siguiente para confirmar la lista de contactos y continuar con la creación de un canal de Teams donde también puede recibir notificaciones de incidentes.

Para editar o actualizar los contactos de notificación después de la configuración inicial, vaya a Configuración> Contactos denotificaciónde expertos de> Defender.

Captura de pantalla de los contactos de notificación.

Recepción de notificaciones y actualizaciones de respuesta administrada en Microsoft Teams

Además del correo electrónico y el chat en el portal, también tiene que usar Microsoft Teams para recibir actualizaciones sobre las respuestas administradas y comunicarse con nuestros expertos en tiempo real. Cuando esta configuración está activada, se crea un nuevo equipo denominado Equipo de expertos de Defender , donde las notificaciones de respuesta administrada relacionadas con incidentes en curso se envían como nuevas publicaciones en el canal de respuesta administrada . Más información sobre el uso del chat de Teams

Importante

Los expertos de Defender tendrán acceso a todos los mensajes publicados en cualquier canal del equipo de expertos de Defender creado. Para evitar que los expertos de Defender accedan a los mensajes de este equipo, vaya a Aplicaciones en Teams y, a continuación, vaya a Administrar las aplicaciones>que quitan los expertos de> Defender. Esta acción de eliminación no se puede invertir.

Para activar las notificaciones y el chat de Teams:

  1. En la misma configuración de configuración de Expertos de Defender, en Teams, seleccione la casilla Comunicarse en Teams .
  2. Seleccione Siguiente para revisar la configuración.
  3. Seleccione Enviar. A continuación, la guía paso a paso completa la configuración inicial.
  4. Seleccione Ver evaluación de preparación para completar las acciones necesarias para optimizar la posición de seguridad.

Nota:

Para configurar la aplicación Defender Experts Teams, debe tener asignado el rol Administrador global o administrador de seguridad y una licencia de Microsoft Teams.

Para activar las notificaciones de Teams y chatear después de la configuración inicial, vaya a Configuración>Equipos de expertos de> Defender.

Captura de pantalla de la opción para activar Teams para recibir la respuesta administrada.

  • Para agregar nuevos miembros al canal, vaya al equipo >de expertos de DefenderMás opciones (...)>Administrar equipo>Agregar miembro.
  • Para limitar quién puede unirse a este equipo, vaya al equipo >de expertos de DefenderMás opciones (...)>Configuración>Editar>Administrar equipo>Privado.

Preparación del entorno para el servicio de expertos de Defender

Además de la entrega de servicios de incorporación, nuestra experiencia en el conjunto de productos Microsoft Defender XDR permite a los expertos de Defender para XDR ejecutar una evaluación de preparación y ayudarle a sacar el máximo partido a sus productos de seguridad de Microsoft.

La evaluación de preparación se basa en el número de dispositivos e identidades protegidos en su entorno y en las recomendaciones de directivas de expertos de Defender. Para ver la evaluación, en el portal de Microsoft Defender, vaya a Configuración>Expertos de Defender y seleccione Estado del servicio.

Captura de pantalla del entorno de evaluación de preparación.

La evaluación de preparación tiene dos partes:

  • Acciones necesarias : en esta sección se muestra el número de acciones o la configuración de seguridad que necesita completar, que están en curso o que se han completado. Estas acciones se muestran en una tabla de la parte inferior de la página.

    En la lista se describen los pasos necesarios que debe seguir antes de iniciar el servicio. Priorice las acciones que tienen el estado Complete now (Completar ahora ) para que el servicio Defender Experts for XDR se inicie antes.

    Nota:

    La configuración de seguridad puede tardar hasta 24 horas en obtener el estado más reciente.

  • Recursos protegidos : en esta sección se muestra el número actual de dispositivos e identidades protegidos frente a los que todavía necesita proteger para iniciar el servicio Defender Experts for XDR.

    Las cifras se basan en las licencias de Defender para punto de conexión y Defender for Identity; para lograr este número de recursos protegidos de destino, incorpore más dispositivos a Defender para punto de conexión o instale más sensores de Defender for Identity.

Importante

Expertos de Defender para XDR revisa periódicamente la evaluación de preparación, especialmente si hay cambios en el entorno, como la adición de nuevos dispositivos e identidades. Es importante supervisar y ejecutar periódicamente la evaluación de preparación más allá de la incorporación inicial para asegurarse de que el entorno tiene una fuerte posición de seguridad para reducir el riesgo.

Después de completar todas las tareas necesarias y cumplir los objetivos de incorporación en la evaluación de preparación, el administrador de entrega de servicios (SDM) inicia la fase de supervisión del servicio Defender Experts for XDR, donde, durante unos días, nuestros expertos comienzan a supervisar su entorno estrechamente para identificar amenazas latentes, orígenes de riesgo y actividad normal. A medida que comprendamos mejor sus recursos críticos, podemos optimizar el servicio y ajustar nuestras respuestas.

Una vez que nuestros expertos empiecen a realizar un trabajo de respuesta completo en su nombre, comenzará a recibir notificaciones sobre incidentes que requieren pasos de corrección y recomendaciones dirigidas sobre incidentes críticos. También puede chatear con nuestros expertos o con sus SDMs con respecto a consultas importantes y revisiones periódicas de la posición empresarial y de seguridad. Además, también puede ver informes en tiempo real sobre el número de incidentes que hemos investigado y resuelto en su nombre.

Paso siguiente

Consulte también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.